Audit-fester Streifen-Nachweis für KRITIS-Betreiber 2026

Der Auditor öffnet das Streifenbuch und blättert. 14 Einträge, drei Unterschriften, keine Sensordaten. Das war 2018 akzeptabel; 2026 fällt jede KRITIS-Anlage damit durch die Prüfung. Dieser Beitrag beschreibt, welche Anforderungen an einen Audit-festen Streifen-Nachweis gelten, welche Rechtsquellen sie tragen und welche operativen Konsequenzen Sicherheitsleiter ziehen sollten.

Audit-fester Streifen-Nachweis: Was Prüfer 2026 erwarten

Prüfer aus BSI, BBK und ISO-27001-Zertifizierern verlangen eine lückenlose Zeitachse jeder Streife. Jeder Wegpunkt muss GPS-Koordinaten, Zeitstempel und mindestens einen Sensorlog tragen. Eine Stempeluhr an Punkt 7 genügt nicht. Der Prüfer will sehen, was an Punkt 7 zwischen 02:14:33 und 02:14:51 wahrgenommen wurde.

Die Speicherung muss manipulationssicher sein. Stand der Technik 2026 ist Hash-Verkettung jedes Datensatzes mit dem Vorgängerdatensatz, gespeichert in WORM-Ablage (Write Once Read Many) über zehn Jahre. Wer eine Zeile ändert, bricht die Kette, und die Manipulation wird sichtbar.

Rohdaten, Auswertung und Eskalationsentscheidung sind getrennt zu führen. Ein Sensor liefert ein Thermalbild (Rohdatum). Ein Algorithmus klassifiziert es als Person (Auswertung). Ein Operator quittiert und entscheidet über Polizeiruf (Eskalation). Diese drei Schichten dürfen nicht in einem einzigen Logbucheintrag verschmelzen, sonst ist die Beweiskette Wachschutz im Audit nicht nachvollziehbar.

Jedes Ereignis muss eindeutig einem Sensor, einer Roboter-Seriennummer und einer Operator-ID zugeordnet werden. Anonyme Einträge sind wertlos. Schriftliche Nachweise nach §8a BSIG und dem kommenden KRITIS-Dachgesetz fordern explizit diese Zuordenbarkeit.

Nächster Schritt: Lesen Sie die KRITIS-Anforderungen für die aktuelle Sektorabgrenzung.

Rechtlicher Rahmen: BSIG, KRITIS-Dachgesetz, NIS-2

§8a BSIG verlangt von KRITIS-Betreibern den Nachweis angemessener Vorkehrungen alle zwei Jahre. Die Pflicht gilt seit 2017 und wurde 2021 mit dem IT-Sicherheitsgesetz 2.0 verschärft. Die KritisV definiert Schwellenwerte und Pflichten für Betreiber kritischer Anlagen je Sektor.

Das KRITIS-Dachgesetz erweitert die Pflicht ab 2026 auf physische Schutzmaßnahmen. Der Entwurf in Bundestag-Drucksache 20/9262 verlangt erstmals einen integrierten Nachweis aus IT- und physischer Sicherheit. Perimeterüberwachung, Streifenführung und Zutrittskontrolle gehören damit explizit in den Prüfungsumfang.

NIS-2 ergänzt die Anforderungen auf europäischer Ebene. Richtlinie (EU) 2022/2555 verlangt dokumentierte Vorfallserkennung mit definierten Reaktionszeiten. Erstmeldung an die Aufsicht innerhalb von 24 Stunden, vollständiger Bericht innerhalb von 72 Stunden (Art. 23 Abs. 4 Richtlinie (EU) 2022/2555). Ohne automatisierten Streifen-Nachweis sind diese Fristen organisatorisch nicht haltbar.

Die Registrierung beim BBK als zuständige Bundesoberbehörde setzt eine belastbare Nachweisstruktur voraus. Das BBK verlangt im Selbstauskunftsverfahren konkrete Belege, nicht Absichtserklärungen.

Vorstandshaftung greift bei fehlender oder lückenhafter Dokumentation. §43 GmbHG und §93 AktG sind klar, NIS-2 Artikel 20 verschärft die persönliche Verantwortung der Leitungsorgane. Details dazu in Vorstandshaftung unter NIS-2.

Bestandteile einer revisionssicheren Streifenakte

Eine revisionssichere Streifenakte besteht aus fünf Schichten. Erstens der Streifenplan: Soll-Route, Frequenz pro Schicht, Risikobegründung pro Sektor. Wer um 03:00 Uhr die Tankfarm passiert, muss dokumentieren können, warum nicht um 02:30 Uhr und nicht um 03:30 Uhr. Risikoanalyse rechtfertigt Frequenz.

Zweitens der Ist-Track: die tatsächlich gelaufene Route mit Abweichungsmarkierung. Jede Abweichung braucht eine Ursache (Hindernis, Alarm, Wartung). Abweichungen ohne Begründung sind im Audit ein roter Befund.

Drittens die Sensorrohdaten. RGB-Frames für Sichtdokumentation, Thermal-Bilder für nächtliche Wärmequellen, LiDAR-Punktwolken für Geometrie und Annäherung, Audio-Spuren für Glasbruch und Schreie. Nicht jeder Streifenpunkt braucht jeden Sensor, aber die Risikoanalyse muss die Auswahl tragen.

Viertens Detektionsereignisse. Jedes Ereignis bekommt Klassifikation (Person, Fahrzeug, Tier, unbekannt), Konfidenzwert (0,00 bis 1,00) und Operator-Quittung mit ID und Zeitstempel. Ohne Quittung gilt das Ereignis als unbearbeitet.

Fünftens das Eskalationsprotokoll mit allen Zeitstempeln von Alarm bis Übergabe an Polizei oder Werkschutz. NIS-2 verlangt diese Zeitkette ausdrücklich.

Nächster Schritt: KRITIS-Dachgesetz-Checkliste 2026 für die Lückenanalyse Ihres aktuellen Systems.

Warum manuelle Streifenbücher 2026 nicht mehr genügen

Handschriftliche Einträge sind nachträglich änderbar. Tipp-Ex existiert, Seiten lassen sich austauschen, Unterschriften nachstellen. Forensisch ist ein Papierbuch ohne Notarsiegel wertlos. Versicherer und Staatsanwälte wissen das.

Stempeluhren an Kontrollpunkten beweisen Anwesenheit, nicht Wahrnehmung. Das ist der Punkt, den interne Auditoren regelmäßig übersehen. Ein Wachmann, der um 02:14 den NFC-Chip an Punkt 7 scannt, war an Punkt 7. Er hat aber nichts dokumentiert über den Zustand von Punkt 7. War das Tor verschlossen? Lag jemand im Gebüsch? Lief ein Generator unrund? Anwesenheitsnachweis ohne Wahrnehmungsnachweis hält keiner Schadensersatzklage stand.

Fehlende Sensorbelege machen Forderungen gegenüber Versicherern angreifbar. Bei Brandstiftung oder Einbruch fragt der Versicherer: Welche Wahrnehmung hatte Ihre Streife zum Zeitpunkt X? Wer nur Stempelzeiten liefert, zahlt den Schaden selbst.

Personalvolatilität verschärft das Problem. BDSW-Zahlen belegen rund 17 Prozent Fluktuation pro Jahr im Wachschutz. Quelle: BDSW Jahresbericht 2023 Ein neuer Posten kennt die Anlage in den ersten Wochen nicht, übersieht Auffälligkeiten und dokumentiert uneinheitlich. Konsistenz über 24 Monate, wie sie das Audit verlangt, ist mit dieser Fluktuation organisatorisch nicht abbildbar.

Auditoren verlangen zunehmend maschinenlesbare Logs statt Papierordner. JSON, CSV oder strukturierte PDFs mit Hashwerten. Wer 2026 noch Aktenordner vorlegt, signalisiert dem Prüfer fehlende Reife.

Wie Quarero-Roboter den Nachweis automatisiert erzeugen

Jeder Streifenlauf eines Quarero-Roboters erzeugt eine signierte JSON-Akte. Diese Akte enthält Streifenplan-ID, Ist-Track als GPX sowie alle Sensorströme mit Zeitstempel. Detektionsereignisse und Operator-Quittungen sind ebenfalls enthalten. Die Akte wird mit dem privaten Schlüssel des Roboters signiert und beim Upload mit dem Schlüssel der Cloud gegensigniert.

QR-2 für 24/7-Außenstreifen dokumentiert thermische Auffälligkeiten mit Bildbeleg und Zeitstempel. Eine Wärmequelle 4 Kelvin über Umgebungstemperatur an einer Lagertankwand um 03:42 Uhr ist ein dokumentiertes Ereignis, nicht eine Bauchentscheidung eines müden Postens.

QR-3 mit LiDAR und Drohnendetektion ergänzt für KRITIS-Stufe LiDAR-Punktwolken und akustische Drohnen-Detektion bis 400 Meter. Beides ist relevant, seit Bundeswehr und BSI 2024 vermehrt Drohnenüberflüge an Energieinfrastruktur dokumentieren.

Die Daten landen verschlüsselt in deutscher WORM-Cloud mit Mandantentrennung. Speicherort Frankfurt oder Berlin, Verschlüsselung AES-256, Mandantentrennung auf Datenbankebene. Quarero hat keinen Lesezugriff auf Mandantendaten ohne explizite Freigabe.

Der Export für Auditoren erfolgt als PDF/A für die Lesefassung plus maschinenlesbare Rohdaten (JSON, GPX, MP4) in unter zehn Minuten. Ein Prüfer kann am Vormittag eine Stichprobe ziehen und am Nachmittag die Belege durchgehen.

Nächster Schritt: Robotics-as-a-Service Modell für die kommerzielle Struktur.

Aufbewahrung, Löschfristen und DSGVO-Konflikte

Sicherheitsrelevante Logs müssen zehn Jahre aufbewahrt werden. Das ergibt sich aus §257 HGB für Geschäftsunterlagen und aus den KRITIS-Vorgaben für Nachweise nach §8a BSIG. Wer 2026 eine Streifenakte aus 2018 nicht vorlegen kann, verletzt die Aufbewahrungspflicht.

Personenbezogene Bilddaten unterliegen einer anderen Logik. Regellöschung nach 72 Stunden ohne Vorfall ist die Praxis, die sich mit Aufsichtsbehörden abgestimmt hat. Längere Speicherung braucht Rechtsgrundlage.

Bei einem Vorfall greift Beweissicherung nach Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Besteht eine Anzeigepflicht, kommt zusätzlich Art. 6 Abs. 1 lit. c als Rechtsgrundlage in Betracht. Die Beweissicherungsentscheidung selbst muss dokumentiert werden: wer, wann, auf welcher Grundlage.

Betroffenenrechte sind technisch über eine Schwärzungsfunktion vor Auditfreigabe abzubilden. Gesichter Dritter im Hintergrund werden vor Export geschwärzt, der Algorithmus protokolliert die Schwärzung. So bleibt die Auditakte vollständig und die Persönlichkeitsrechte unberührt.

Das Verfahrensverzeichnis nach Art. 30 DSGVO muss Sensorarten (RGB, Thermal, LiDAR, Audio), Speicherorte (Rechenzentrum, Region, Anbieter) und Empfänger (Behörden, Versicherer, externe Auditoren) benennen. Ein generisches Verfahrensverzeichnis hält der Prüfung nicht stand.

Audit-Vorbereitung: Checkliste für Sicherheitsleiter

Erstens: Streifenakten der letzten 24 Monate stichprobenartig auf Vollständigkeit prüfen. Methode: zehn zufällige Daten ziehen, jeweils eine Streife heraussuchen, prüfen ob Plan, Track, Sensorrohdaten, Detektionsereignisse und Eskalationsprotokoll vorhanden sind. Fehlende Schichten sind Befunde, die vor dem externen Audit geschlossen werden müssen.

Zweitens: Hash-Verkettung extern verifizieren lassen, nicht durch denselben Dienstleister, der die Akten erzeugt. Ein unabhängiger Dritter (Wirtschaftsprüfer mit IT-Forensik-Kompetenz oder eine zertifizierte Prüfstelle) zieht eine Stichprobe und rechnet die Hashes nach. Das kostet zwischen 2.000 und 5.000 Euro pro Prüfung (Richtwert auf Basis marktüblicher IT-Forensik-Angebote, Stand 2025) und liefert eine separate Verifikationsbescheinigung.

Drittens: Eskalationszeiten gegen interne KPI und NIS-2-Vorgaben abgleichen. Mittlere Zeit von Alarm bis Operator-Quittung, mittlere Zeit bis Polizeiruf, mittlere Zeit bis Meldung an die Aufsicht. Werte über 30 Minuten für die ersten beiden Stufen sind im KRITIS-Kontext kritisch.

Viertens: Schulungsnachweise der Operatoren beifügen, inklusive Datum und Inhalt. §34a-Sachkundeprüfung allein genügt nicht, der Auditor will anlagenspezifische Einweisung sehen. Eine jährliche Auffrischung mit Teilnehmerliste ist Mindeststandard.

Fünftens: Schnittstelle zum ISMS dokumentieren, mit Verweisen auf ISO 27001 Controls A.7 (Personalsicherheit) und A.8 (Asset-Management). Streifen-Nachweise sind ein Asset im Sinne der Norm.

Kostenrahmen und Beschaffung

QR-2 ist ab 3.500 Euro monatlich verfügbar, inklusive Nachweissystem, Speicherung und Wartung. Der Preis enthält die WORM-Ablage über die volle Aufbewahrungsfrist und den Audit-Export.

Ein 24/7-Wachposten kostet je nach Manteltarifvertrag und Region zwischen 15.000 und 25.000 Euro pro Monat (Richtwert gemäß BDSW Lohnübersicht 2025). Diese Summe deckt Lohn, Lohnnebenkosten, Urlaubsvertretung und Krankenstand, aber keinen automatischen Nachweis. Vergleichszahlen finden sich in Wachschutz-Kosten im Vergleich.

Das RaaS-Modell verlagert die Investition in laufenden Aufwand. Keine Anschaffung, keine Abschreibung über fünf Jahre, voll abzugsfähig im Geschäftsjahr. Für KRITIS-Betreiber mit jährlichem Budgetzyklus ist das die operativ einfachere Struktur.

Lieferung und Inbetriebnahme erfolgen innerhalb von 48 Stunden ab Vertragsschluss. Die Mindestlaufzeit beträgt 24 Monate. Diese Laufzeit deckt einen vollen Audit-Zyklus nach §8a BSIG ab und ermöglicht die Vorlage einer geschlossenen Nachweisstrecke beim ersten Folgeaudit.

Ein Pilotbetrieb über 90 Tage liefert die erste auditfähige Nachweisakte. In dieser Zeit werden Streifenpläne kalibriert und Sensorparameter justiert. Operator-Workflows werden parallel mit dem internen ISMS abgeglichen. Wer im April startet, hat im Juli eine prüfbare Akte und im Oktober drei volle Quartale.

Für die nächste Stufe vereinbaren Sie eine Erstbegehung über KRITIS-Erstbegehung buchen. Wir kommen mit einem Auditor unseres Netzwerks zur Erstbegehung, prüfen Ihre bestehende Nachweisstruktur und benennen die konkreten Lücken vor Vertragsschluss.